Docker通过EFK(Elasticsearch + Fluentd + Kibana)查询日志

最新推荐文章于 2025-06-15 11:39:05 发布
原创 最新推荐文章于 2025-06-15 11:39:05 发布 · 1.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍如何使用Elasticsearch、Fluentd和Kibana(EFK)搭建日志管理系统,实现Docker环境下日志的收集、存储和可视化分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、概述

Elasticsearch是一个开源搜索引擎,以易用性着称。kibana是一个图形界面,可以在上面条件检索存储在ElasticSearch里数据,相当于提供了ES的可视化操作管理器。

fluentd

fluentd是一个针对日志的收集、处理、转发系统。通过丰富的插件系统,可以收集来自于各种系统或应用的日志,转化为用户指定的格式后,转发到用户所指定的日志存储系统之中。

fluentd 常常被拿来和Logstash比较,我们常说ELK,L就是这个agent。fluentd 是随着Docker,GCP 和es一起流行起来的agent。

这篇文章里概括一下的话,有以下区别:

  • fluentd 比 logstash 更省资源;
  • 更轻量级的 fluent-bid 对应 filebeat,作为部署在结点上的日志收集器;
  • fluentd 有更多强大、开放的插件数量和社区。插件列表这一点值得多说,插件太多了,也非常灵活,规则也不复杂。

 

基本的架构

 

 

这里主要解决的问题是日志查询,日志来源是docker。我们使用docker部署任务时,可以使用docker logs -f <容器id>查看日志,也可以去/var/lib/docker/containers/<容器id>/<容器id>-json.log查看日志文件。但是这都很难去做查询,本文介绍的EFK就可以解决这个问题。

我们会创建四个容器:

 

环境说明:

请安装最新的docker及docker-compose,老版本会有些问题。

docker安装,请参考链接:

https://www.cnblogs.com/xiao987334176/p/11771657.html

docker-compose安装,请参考链接:

https://www.cnblogs.com/xiao987334176/p/12377113.html

 

操作系统:centos 7.6

配置:2核8g

docker版本:19.03.6

docker-compose版本:1.24.1

 

本文使用一台centos7.6服务器,来演示EFK。

注意:内存至少在4g或者以上。

 

二、docker-compose运行EFK

目录结构

 创建一个空目录

mkdir /opt/efk/

目录结构如下:

./
├── docker-compose.yml
└── fluentd
    ├── conf
    │   └── fluent.conf
    └── Dockerfile

 

docker-compose.yml

version: '2'
services:
  web:
    image: httpd
    ports:
      - "1080:80" #避免和默认的80端口冲突
    links:
      - fluentd
    logging:
      driver: "fluentd"
      options:
        fluentd-address: localhost:24224
        tag: httpd.access

  fluentd:
    build: ./fluentd
    volumes:
      - ./fluentd/conf:/fluentd/etc
    links:
      - "elasticsearch"
    ports:
      - "24224:24224"
      - "24224:24224/udp"

  elasticsearch:
    image: elasticsearch:7.6.0
    environment:
      - discovery.type=single-node
    expose:
      - 9200
    ports:
      - "9200:9200"

  kibana:
    image: kibana:7.6.0
    links:
      - "elasticsearch"
    ports:
      - "5601:5601"
View Code

注意:elasticsearch 7.6.0要使用单机模式,必须传入环境变量discovery.type=single-node

 

所有web里的日志会自动发送到fluentd-address: localhost:24224,也就是fluentd容器。

Elasticsearch 和 Kibana是目前最新的版本7.6.0,如果想要选择更新的,可以去这里查看

Elasticsearch image tags in DockerHub

Kibana image tags in DockerHub

 

Fluentd的配置和插件

新建文件fluentd/Dockerfile,使用官方镜像Fluentd’s official Docker image,安装需要的插件

# fluentd/Dockerfile
FROM fluent/fluentd:v0.12-debian
RUN ["gem", "install", "fluent-plugin-elasticsearch", "--no-rdoc", "--no-ri", "--version", "1.9.7"]

 

然后新建文件fluentd/conf/fluent.conf,编写Fluentd的配置文件

<source>
  @type forward
  port 24224
  bind 0.0.0.0
</source>
<match *.**>
  @type copy
  <store>
    @type elasticsearch
    host elasticsearch
    port 9200
    logstash_format true
    logstash_prefix fluentd
    logstash_dateformat %Y%m%d
    include_tag_key true
    type_name access_log
    tag_key @log_name
    flush_interval 1s
  </store>
  <store>
    @type stdout
  </store>
</match>
View Code

官方设置文档config-file

 

修改/etc/sysctl.conf 

此参数一定要改,否则Elasticsearch 无法启动

vm.max_map_count = 2621440

加载配置

sysctl -p

 

启动容器

在后台启动,使用docker-compose up -d

# docker-compose up -d
Starting efk_elasticsearch_1 ... done
Starting efk_fluentd_1       ... done
Starting efk_kibana_1        ... done
Starting efk_web_1           ... done

 

查看所有容器

# docker ps
CONTAINER ID        IMAGE                 COMMAND                  CREATED             STATUS              PORTS                                                          NAMES
d82b1a16c970        httpd                 "httpd-foreground"       21 hours ago        Up 51 minutes       0.0.0.0:1080->80/tcp                                           efk_web_1
1085be0f9c6e        efk_fluentd           "tini -- /bin/entryp…"   21 hours ago        Up 51 minutes       5140/tcp, 0.0.0.0:24224->24224/tcp, 0.0.0.0:24224->24224/udp   efk_fluentd_1
3e837917f4cf        kibana:7.6.0          "/usr/local/bin/kiba…"   21 hours ago        Up 51 minutes       0.0.0.0:5601->5601/tcp                                         efk_kibana_1
3d860ca7e0db        elasticsearch:7.6.0   "/usr/local/bin/dock…"   21 hours ago        Up 51 minutes       0.0.0.0:9200->9200/tcp, 9300/tcp                               efk_elasticsearch_1

 

产生日志

使用curl执行3遍

curl http://localhost:1080/
curl http://localhost:1080/
curl http://localhost:1080/

 

查看日志

打开http://localhost:5601,提示需要先建索引,输入fluentd-*刷新即可

 

 

选择时间戳

 

 

 

 去Discover页面,然后就可以看到之前的日志了。

 

 

如何接入其他docker日志

这里是以docker-compose形式启动的一个服务,如果还有别的任务需要将日志发送到fluentd,需要这几个步骤。

默认情况下,docker-compose会为我们的应用创建一个网络,服务的每个容器都会加入该网络中。这样,容器就可被该网络中的其他容器访问,不仅如此,该容器还能以服务名称作为hostname被其他容器访问。

所以我们首先需要找到我们现在创建的EFK的网络名,

# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
afa576d45dff        bridge              bridge              local
27d56becedb8        efk_default         bridge              local
1d5b4653e1df        host                host                local
901f8a349049        none                null                local

 

我是在efk目录下创建的docker-compose.yml文件,所以这里默认的名字就是efk_default。

再看看之前web的设置

web:
    image: httpd
    ports:
      - "1080:80" #避免和默认的80端口冲突
    links:
      - fluentd
    logging:
      driver: "fluentd"
      options:
        fluentd-address: localhost:24224
        tag: httpd.access

有几个关键设置是:links和logging,link 用于容器直接的互通,logging则是日志的输出设置。

那我们这里再启动一个新docker需要这些设置

docker run \
    --link efk_fluentd_1 \
    --net efk_default  \
    --log-driver=fluentd \
    --log-opt fluentd-address=localhost:24224 \
    --log-opt tag=httpd.access \
    -d hello-world

我们去kibana看看,果然,日志已经发送到kibana了。

搜索hello

如果是其他机器,需要指定fluentd ip,比如:

docker run \
    --log-driver=fluentd \
    --log-opt fluentd-address=172.19.155.138:24224 \
    --log-opt tag=httpd.access \
    -d hello-world

 

最后想要做的就是如何在一台服务器上搜集所有的日志,理论上来说,只需要一台服务器部署上EFK,暴露端口,其他服务器去发送即可,实际上还没试过。

 

本文参考链接:

https://zhuanlan.zhihu.com/p/63105931

shykevin
关注
基于Elasticsearch + Fluentd + KibanaEFK)搭建日志收集管理系统
dvlinker的技术专栏
07-01 1万+
详细讲述基于ElasticsearchFluentdKibana日志管理系统搭建过程。
EFK】k8s部署ElasticSearch+Fluentd+Kibana进行日志收集
Marcos921的博客
01-20 1033
通过结合Elasticsearch的存储和搜索功能、Fluentd的采集和处理功能以及Kibana的展示和分析功能,开发者可以实现日志的收集、存储、搜索、分析和可视化。在子配置文件中设置时间戳格式,并在子配置文件中定义使用kubernetes插件,根据日志中的pod信息查对应k8s信息,并在日志中增加k8s信息,并配置logstash格式输出。编写yaml创建ES的Service,使用有状态应用StatefulSet创建ES集群,使用NFS做PV,存储ES数据到PV中。Kibana版本:7.2.0。
kubernetes-efk:设置ElasticsearchFluentdKibanaEFK
02-22
Kubernetes上的弹性云 注意:Elasticstack中的命名空间已更改为logging 在此存储库中,我们将设置ElasticsearchKibana,然后设置Fluentd 松紧带 在本节中,我们将与ElasticsearchKibana一起设置elastitc运算符 在您的Kubernetes集群中部署ECK 安装自定义资源定义和操作员及其RBAC规则: kubectl apply -f elastic/all-in-one.yaml kubectl -n logging logs -f statefulset.apps/elastic-operator监视操作员日志: 部署Elasticsearch集群 应用简单的Elasticsearch集群规范,其中包含三个Elasticsearch节点: 部署kubectl apply -f elastic/elast
万能日志数据收集器 Fluentd - 每天5分钟玩转 Docker 容器技术(91)
CloudMan6的博客
11-08 933
Fluentd 是一个开源的数据收集器,它目前有超过 500 种的 plugin,可以连接各种数据源和数据输出组件。
Docker环境下的EFK日志分析实践:从Filebeat采集到Kibana可视化的完整部署指南
最新发布
楠搏万的博客
06-15 1112
EFK日志方案:Elasticsearch储存检索,Filebeat轻量采集容器/主机日志Kibana可视化;Docker-Compose一键部署,7.10.2-oss镜像免授权,支持单节点开发、持久化、元数据增强、basePath定制。适用微服务、云原生日志集中分析,快速部署,成本低,易扩展省。
基于Elasticsearch+Fluentd+Kibana日志收集分析系统搭建与应用
热门推荐
swq的专栏
01-07 2万+
基于Elasticsearch+Fluentd+Kibana日志系统搭建与应用随着互联网技术的发展,原来的单机发展到多机再到大规模集群,nginx,tomcat,openStack,docker容器等等,一个系统由大量的服务构成,其中每个应用与服务的日志分析管理也变得越来越重要。本文将介绍如何使用fd+es+ka搭建日志收集系统。关于具体介绍请参考官网: Fluentd: http://www.
Elasticsearch+Fluentd+Kibana整合全流程
qq_40448623的博客
09-22 1622
Elasticsearch+Fluentd+Kibana整合全流程 一、Docker安装Elasticsearch 1.1 创建一个网络名为logging且driver为bridge的网络 docker network create logging 1.2 创建单节点的Elasticsearch docker run -d --name elasticsearch --net logging -p 9200:9200 -p 9300:9300 -e TZ=Asia/Shanghai -e "discov
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:...yaml地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 部署教程里面的两个注意 Elasticsearch 数据持久化:默认 EmptyDir 的方
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
日志管理领域,传统的ELK(Elasticsearch, Logstash, Kibana)堆栈正逐渐被EFKElasticsearch, Fluentd, Kafka)所取代,原因是Logstash在处理大量日志时可能消耗过多内存,而Fluentd在轻量级日志收集方面表现更...
学习笔记五:在k8s中安装EFK组件(elasticsearch+fluentd+kibana)
weixin_43258559的博客
08-06 1179
我们使用daemonset控制器部署fluentd组件,这样可以保证集群中的每个节点都可以运行同样fluentd的pod副本,这样就可以收集k8s集群中每个节点的日志,在k8s集群中,容器应用程序的输入输出日志会重定向到node节点里的json文件中。把elasticsearch-7-12-1.tar.gz和 fluentd-v1-9-1.tar.gz和 kibana-7-12-1.tar.gz上传到k8smaster1和k8snode1机器上,手动解压。
一步到位:通过 Docker Compose 部署 EFK 进行 Docker 日志采集
srebro.cn | 运维小弟
09-14 1892
一个开源的分布式搜索和分析引擎,用于存储和查询日志数据。它是 EFK 的核心组件,负责高效地存储和检索日志信息。:一个轻量级的日志采集器,主要用于将日志文件数据发送到 Logstash 或 Elasticsearch。Filebeat 设计用于高效地转发和处理日志数据,具有低内存消耗和可靠的传输能力。:一个开源的数据可视化平台,与 Elasticsearch 配合使用,用于创建图表、仪表板和报告,以便对日志数据进行分析和展示。
日志收集系统ElasticsearchFluentdKibana
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-24 1万+
为什么做日志系统 首先,什么是日志日志就是程序产生的,遵循一定格式(通常包含时间戳)的文本数据。 通常日志由服务器生成,输出到不同的文件中,一般会有系统日志、 应用日志、安全日志。这些日志分散地存储在不同的机器上。 通常当系统发生故障时,工程师需要登录到各个服务器上,使用 grep / sed / awk 等 Linux 脚本工具去日志里查找故障原因。在没有日志系统的情况下,首先需要定位处理请...
ElasticsearchFluentdKibana:开源的日志搜索与可视化方案
zstack_org的博客
11-09 6097
ElasticsearchFluentdKibana:开源的日志搜索与可视化方案提供:ZStack社区 前言ElasticsearchFluentdKibana的组合(EFK)可以进行日志数据的采集、索引、搜索以及可视化。该组合是商业软件Splunk的替代:Splunk在一开始用的时候也是免费的,但如果数据多了则需要收费。本文介绍如何用该组合构建你的日志解决方案。前提条件 安装了Ubuntu
docker-compose 部署 EFK
weixin_30885111的博客
02-22 448
信息: Docker版本($ docker --version):Docker版本18.06.1-ce,版本e68fc7a 系统信息($ cat /etc/centos-release):CentOS Linux release 7.5.1804 (Core) 第一步:配置镜像加速 sudo mkdir -p /etc/docker sudo tee /etc/docker/...
docker-compose部署EFK
weixin_48505120的博客
02-11 1907
1 整体目录结构 root@shutang:/home/shutang/docker-scripts# tree log-scripts/ log-scripts/ |-- README.MD |-- curator | |-- Dockerfile | |-- curator_prod.yml | |-- curator_qa.yml | |-- delete_indices.yml | `-- docker-compose.yml |-- docker-compose.yml |--
docker-compose 部署efk(有这篇就够了)
Abel_JiaWei的博客
11-02 4403
docker-compose 部署EFK 这两天在搭建EFKElasticsearch+fluentd+KibanaEFK是什么??? EFK不是一个软件,而是一套解决方案,开源软件之间的互相配合使用,高效的满足了很多场合的应用,是目前主流的一种日志系统。EFK是三个开源软件的缩写,分别表示:Elasticsearch , Fluentd, Kibana , 其中ELasticsearch负责日志保存和搜索,Fluentd负责收集日志Kibana 负责界面,三者配合起来,形成一个非常完美的解决方案;
通过docker compose部署EFK
maxideacom的博客
05-10 601
通过docker compose部署EFK目标使用到的镜像补充说明Docker compose文件文件说明filebeat.docker-compose.yml文件文件说明常见问题vm.max_map_count设置问题解决办法Data volume数据清除手动创建的Kibana如何加入集群? 目标 通过docker compose一次性部署Elasticsearch、Filebeat、Kibana。 使用到的镜像 docker pull store/elastic/filebeat:7.6.2 docke
docker搭建最新ELFK分布式日志收集系统(elasticsearch+logstash+filebeats+kibana7.16.1)
AmaingZ06的博客
05-16 1960
随着分布式项目的集群部署,日志的存储也分散开来,在日后出现问题进行日志定位时就会出现很困难,服务器很多会做负载均衡,这样最终请求所落在的服务器也随机起来,所以好的方式就是集中收集起来,不需要一台一台服务器去查,方便查看。
给我在k8s集群内部署es+fluentd+kibana技术栈的文档
03-31
EFK是一个常见的组合,其中Fluentd负责日志收集,Elasticsearch存储日志Kibana提供可视化界面。 接下来,我需要考虑用户可能的背景。他们可能是有一定Kubernetes基础的系统管理员或DevOps工程师,但可能对EFK的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值